Компрометация корпоративной почты как способ потерять миллионы

Европейское подразделение Тойоты потеряло более 37 млн долларов из-за действий злоумышленников. Как не стать жертвой BEC-атаки.

За последний год мы уже несколько раз писали о различных схемах злоумышленников, которые пытаются завладеть учетными записями сотрудников компаний. Как правило, «угнанные» учетные записи используются для рассылки спама и обхода фильтров. Однако захваченный почтовый ящик может быть использован и для куда более неприятных вещей. Например, в схеме BEC-атаки (атаки с применением компрометации корпоративной почты). В прошлом месяце в результате такой атаки пострадала одна из дочерних фирм Toyota Boshoku Corporation, ущерб которой оценивается примерно в 4 миллиарда йен (более 37 миллионов долларов).

Инцидент с Toyota

Согласно официальному заявлению компании, опубликованному компанией 6 сентября, а также новостным публикациям, неизвестные злоумышленники атаковали именно по схеме BEC. Детали инцидента до сих пор не раскрыты (по причине продолжающегося расследования), так что мы не знаем, использовался ли захваченный почтовый ящик или преступникам и без этого удалось выдать себя за кого-то другого. Известно только, что причиной потери денег стали мошеннические указания по банковскому переводу, воспринятые кем-то в компании как легитимные.

Вскоре после перевода эксперты по безопасности из Toyota поняли, что финансы ушли на посторонние счета, однако остановить перевод не удалось. Впрочем, не исключено, что благодаря их оперативному вмешательству средства удастся вернуть — на это направлены все их усилия.

BEC-атака

На самом деле BEC-атака далеко не всегда связана именно с захватом чужих почтовых ящиков. Иногда злоумышленники пытаются выдать себя за высокопоставленных сотрудников компании или партнеров, общаясь с совершенно посторонних адресов. Однако использование чужой почты делает эту схему гораздо проще — ведь письмо, пришедшее от человека, с которым вы действительно неоднократно переписывались, вызывает гораздо меньше подозрений.

Разумеется, для успешной атаки преступник должен хорошо владеть навыками социальной инженерии. Ведь выдать себя за другого человека и убедить собеседника сделать что-то в интересах мошенника не так-то просто. Тут опять же захваченный почтовый ящик облегчает задачу атакующего — изучив переписку в папках «Входящие» и «Отправленные», он сможет убедительнее имитировать стиль своего «персонажа».

Не обязательно целью BEC-атаки является именно перевод финансовых средств (все-таки убедить кого-то отправить миллионы долларов — задача нетривиальная). А вот выманить какие-то конфиденциальные данные у злоумышленников получается гораздо чаще.

Другие примеры BEC-атак

Toyota — далеко не первый пример такой атаки. В мае мы писали о том, как некие злоумышленники обманули футбольный клуб, вступив в переписку по поводу перевода футболиста. А в прошлом месяце мошенники пытались выудить 2,9 миллиона долларов из Портлендского округа муниципальных школ. В июле округ Кабаррус, находящийся в штате Северная Каролина, потерял 1,7 миллиона, точно так же получив инструкции по почте. Причем изначально они перевели 2,5 миллиона якобы на строительство нового учебного заведения, но потом часть средств удалось вернуть.

Как не стать жертвой

Для защиты от методов социальной инженерии одних технических средств не хватит. Особенно если злоумышленник действует профессионально и имеет доступ к реальному почтовому ящику человека, за которого он пытается себя выдать. Поэтому для того, чтобы не стать жертвой мошенников, мы советуем:

• Четко прописать процедуру банковского перевода финансовых средств, чтобы ни у кого из сотрудников не было возможности бесконтрольно перевести их на сторонние счета. Разумно сделать так, чтобы переводы крупных сумм авторизовывались несколькими менеджерами.
• Обучить сотрудников основам кибербезопасности и научить скептически относиться к входящим письмам. В этом помогут наши программы по повышению осведомленности об угрозах.
• Предотвратить захват корпоративных почтовых учетных записей при помощи антифишинговой защиты на уровне почтового сервера. Он есть, например, в нашем решении Kaspersky Endpoint Security для бизнеса расширенный.

19.09.2019